我已经使用django rest框架实现了基于令牌的身份验证。
但是当使用浏览器的开发人员工具查看时,令牌在HTTP请求头中可见。我可以使用此令牌在Postman的帮助下从API获取私有数据。因此,我觉得这不是一种安全的身份验证方式。我的问题是,在每个基于令牌的身份验证的HTTP请求标头中都可以看到令牌。如果不是,请告诉我应该使用哪一个。
答案 0 :(得分:0)
令牌特定于用户的此登录会话。如果用户已登录且攻击者可以物理访问设备,他仍然可以通过您的界面访问所有需要的数据。因此加密令牌没有任何意义,因为它仍然作为字符串发送到后端。它类似于发送密码的哈希而不是密码本身,哈希成为新密码。如果在一段时间内没有活动(如5分钟)(由银行/钱包使用),您可以做的最好的事情就是令牌无效。另一种是基于用户代理的邮递员查询拒绝。或者最偏执,您可以将设备指纹(https://github.com/Valve/fingerprintjs)映射到令牌(在登录期间),然后阻止任何其他设备访问相同的令牌。希望这有助于为时已晚。